#笔记(二十七)#dvwa漏洞Insecure CAPTCHA 小结
其他
2019-03-01 08:50:59
阅读次数: 0
Insecure CAPTCHA
- 说实话和csrf有些类似
- 只要就是代码审计,认真阅读代码,找到判断验证码的方式,进行漏洞绕过
- 虽然说是不安全的验证码,但其实是不安全的验证流程,
reCAPTCHA验证流程
-
服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
recaptcha_check_answer($privkey,$remoteip, $challenge,$response)
-
参数
privkey是服务器申请的privatekey,remoteip是用户的ip,
challenge是recaptchachallengefield字段的值,来自前端页面,response是 recaptcha_response_field 字段的值。函数返回ReCaptchaResponse class的实例,ReCaptchaResponse 类有2个属性 :
- $is_valid是布尔型的,表示校验是否有效
- $error是返回的错误代码。
转载自blog.csdn.net/weixin_43476037/article/details/87886965